LGPD Apostila

Lei Geral de Proteção de Dados
Pessoais (LGPD)
Curso de Aperfeiçoamento em Tecnologia

Créditos
Serviço Nacional de Aprendizagem Comercial – Senac/SC
Departamento Regional em Santa Catarina
FECOMÉRCIO
Presidente
Bruno Breithaupt
Diretor Regional
Rudney Raulino
Diretoria de Educação Profissional
Ana Elisa Cassal
Conteudista
Luciano Bridi
Desenvolvimento e Editoração
Setor de Tecnologias Educacionais – SETED
Coordenação Técnica
Setor de Tecnologias Educacionais – SETED
© Senac | Todos os Direitos Reservados

Sumário
CONTEXTUALIZANDO �� 5
1 O ENORME VALOR DOS DADOS PESSOAIS �� 6
1.1 O CONCEITO DE DADO PESSOAL �� 7
1.2 O PAPEL DA TECNOLOGIA DA INFORMAÇÃO �� 13
1.3 A NECESSIDADE DE SE PROTEGER OS DADOS PESSOAIS �� 15
2 EVOLUÇÃO HISTÓRICA DA LEGISLAÇÃO
DE DADOS PESSOAIS �� 17
2.1 LEGISLAÇÃO DE PROTEÇÃO DE DADOS:
UM FENÔMENO DA GLOBALIZAÇÃO �� 18
2.2 O COMPLIANCE NA ORIGEM DO SISTEMA
DE PROTEÇÃO DE DADOS PESSOAIS �� 20
2.3 A PROTEÇÃO DE DADOS PESSOAIS PELO MUNDO �� 21
3 A PROTEÇÃO DE DADOS PESSOAIS NO BRASIL �� 28
3.1 OS PRIMEIROS PASSOS �� 28
3.2 O CÓDIGO DE DEFESA DO CONSUMIDOR �� 30
3.3 O MARCO CIVIL DA INTERNET �� 31
3.4 FINALMENTE, UMA LEI GERAL! �� 32
4 ENTENDENDO A LGPD – A NOSSA LEI GERAL DE PROTEÇÃO
4.1 OBJETIVOS �� 36
4.2 FUNDAMENTOS �� 36
4.3 APLICABILIDADE �� 37
4.4 PRINCIPAIS CONCEITOS �� 38
4.5 PRINCÍPIOS A SEREM OBSERVADOS �� 39
4.6 AS BASES LEGAIS PARA O TRATAMENTO
4.7 OS DIREITOS DO TITULAR DOS DADOS PESSOAIS �� 44
4.8 OS TRATAMENTOS REALIZADOS PELO PODER PÚBLICO �� 45
4.9 A TRANSFERÊNCIA INTERNACIONAL DE DADOS �� 46
4.10 AGENTES DE TRATAMENTO �� 46
4.11 O ENCARREGADO PELO TRATAMENTO
DE DADOS PESSOAIS (DPO) �� 46

4.12 SEGURANÇA E BOAS PRÁTICAS �� 47
4.13 FISCALIZAÇÃO E PENALIDADES �� 49
4.14 ANPD - AUTORIDADE NACIONAL
DE PROTEÇÃO DE DADOS �� 50
5 O IMPACTO DA LGPD NAS RELAÇÕES NEGOCIAIS �� 53
5.1 O QUE MUDA NO DIA A DIA DAS EMPRESAS �� 53
5.2 CENÁRIO INICIAL �� 54
5.3 O PERIGO DA FALTA DE ADEQUAÇÃO �� 55
6 O QUE FAZER PARA FICAR EM DIA COM A LGPD �� 57
6.1 CONSCIENTIZAÇÃO �� 57
6.2 ADEQUAÇÕES TÉCNICAS �� 58
6.3 ADEQUAÇÕES ADMINISTRATIVAS �� 59
6.4 A CULTURA DA PROTEÇÃO DE DADOS �� 60
CONSIDERAÇÕES �� 62
REFERÊNCIAS �� 63

Lei Geral de Proteção de Dados Pessoais (LGPD) 5
CONTEXTUALIZANDO
Este curso, Lei Geral de Proteção de Dados Pessoais (LGPD), foi desenvolvido para atender uma
demanda crescente de profissionais que desejam obter maiores conhecimentos sobre essa
legislação, que tanto afetou o cotidiano das organizações e que entrou em vigor a partir de
18 de setembro de 2020. Sendo assim, este material irá contextualizar as razões do aumento
significativo da importância dos dados pessoais, demonstrando sua evolução legislativa em
nível mundial e de que forma isso está refletindo em nosso país.
Nos próximos anos, as oportunidades na área de segurança da informação crescerão
vertiginosamente. Na mesma proporção, as iniciativas de compliance também estarão entre
as prioridades do mercado. Para o bom desempenho nessas áreas, é fundamental que as
empresas disponham de pessoal qualificado e apto a desempenhar novas funções como a de
Encarregado de Dados, previsto na LGPD.
Agora, conheça alguns exemplos de atividades que exigem conhecimentos específicos, para
que sejam executadas com o devido zelo e atenção:
Compreender a abrangência da LGPD e entender seu escopo.
Ser capaz de identificar quais dados pessoais são tratados.
Entender a que tipos de riscos as empresas estão sujeitas e de que maneira
é possível preveni-los.
Saber o que fazer em caso de incidentes com dados pessoais.
Perceba que, nesse sentido, este curso será de grande valia, constituindo-se na base necessária
para uma adequada capacitação profissional.
Videoaula
Agora, clique aqui, assista ao vídeo e conheça a estrutura deste curso.
Dever de estar em conformidade com atos, normas e leis, para seu efetivo cumprimento.

1 O ENORME VALOR DOS DADOS PESSOAIS
Você já deve ter percebido que o valor que damos às coisas é subjetivo e mutável. Subjetivo, porque
o valor que um determinado bem tem para uma pessoa pode ser completamente diferente do valor
que esse mesmo bem tem para outra pessoa. Mutável, porque, ao longo do tempo, esse bem pode
perder ou ganhar valor, de acordo com as circunstâncias.
Para melhor compreender como o valor que damos às coisas pode mudar, observe a Figura 1.
Figura 1 - O valor de uma garrafa de água
UMA GARRAFA DE ÁGUA NA SUA CASA PODE SER ALGO
DE POUCA IMPORTÂNCIA PARA VOCÊ E SEUS FAMILIARES
MAS, SE ESSA MESMA GARRAFA SERVIR PARA MATAR
A SEDE DE UM VIAJANTE NO DESERTO DO SAARA,
CERTAMENTE TERÁ UM VALOR INESTIMÁVEL
Fonte: Senac SETED (2019).
Assim, ao longo do tempo, diferentes coisas foram sendo valorizadas na sociedade, enquanto outras
decresceram em termos de importância. Os valores atribuídos aos nossos bens mudaram e continuarão
mudando constantemente.
Fato inequívoco é o que ocorre com a cotação das empresas na bolsa de valores.
Que tal compreender como o valor das empresas foi sendo alterado ao longo dos anos?

Ÿ Quando as primeiras ações começaram a ser negociadas, o grande
diferencial para se atribuir valor a uma organização era o seu patri�
mônio físico: instalações, localização, maquinário...

Ÿ Posteriormente, o valor das empresas passou a ser ditado pela
qualidade de seus produtos, estoques, ativos financeiros e efici�
ência logística.

1 - O enorme valor dos dados pessoais

Ÿ Mais recentemente, houve a valorização do capital humano e o
incentivo ao conhecimento e à inovação.

Ÿ Mas, na onda atual, o grande diferencial a atestar o valor de uma
empresa perante o mercado está na sua capacidade de adquirir,
armazenar, processar e utilizar a informação.
Para melhor compreensão deste primeiro tópico, cabe-nos rememorar alguns conceitos básicos de
Sistemas de Informação, em que a pergunta “o que é informação? ” nos é respondida, via de regra,
pelo seguinte enunciado:
“Informação é o dado com significado, processado de forma a ser útil” (XEXÉO, 2007).
Ao fazer um link dessa afirmação com o título deste primeiro tópico, “O enorme valor dos dados pes�
soais”, podemos concluir, logicamente, que dados são fundamentais para a produção de informações,
tornando-se uma espécie de combustível vital, tal qual o petróleo foi para a humanidade até pouco
tempo atrás.
E, no universo dos milhares de dados que circulam diariamente pelo cotidiano das organizações, um
tipo em especial vale mais do que qualquer outro: os dados pessoais!
Mas, você sabe o que são dados pessoais?
1.1 O CONCEITO DE DADO PESSOAL
Bem, já sabemos que os dados pessoais têm enorme valia nos dias atuais.
Mas afinal, o que é exatamente um dado pessoal?
Podemos começar respondendo da forma mais óbvia possível: dados pessoais são dados de pessoas,
aqueles que servem para identificá-las ou atribuir-lhes determinadas características.
Mas existe um ponto fundamental de corte: ao mencionar “dados pessoais” há um entendimento
mundial de que se tratam de dados de pessoas físicas, também chamadas pelos legisladores de
“pessoas naturais”. Em resumo: estamos falando de... gente.
Ou seja, ficam fora os dados de empresas e outras instituições, as chamadas “pessoas jurídicas”.
Contudo, isso não significa que tais dados não tenham valor ou que não devam ser protegidos. Signi�
fica apenas, que no espectro de aplicação das leis que versam sobre dados pessoais, eles não estão
contemplados.

Também ficam fora da proteção gerada pela LGPD, os dados:
De animais.
De personagens fictícios.
De robôs ou de seres incorpóreos, abstratos ou que não se enquadrem na condição de ser
humano.
Agora, conheça como a LGPD, em seu Artigo 5º, inciso I, conceitua dado pessoal (grifos nossos):
I - dado pessoal: informação relacionada à pessoa natural identificada ou identificável
identificável;
Antes de prosseguir com seus estudos e conhecer os dados que estão ligados, diretamente, à pessoa e a
identificam instantaneamente, que tal relembrar o que você acabou de aprender sobre a LGPD?
NÃO
SE APLICA
 Dados de pessoas físicas
SE
APLICA
 Dados de pessoas jurídicas
 Dados de animais, personagens
ﬁctícios, robôs ou de seres
incorpóreos, abstratos ou que
não se enquadrem na condição
de ser humano
LGPD
No âmbito das categorias de dados abrangidas pela LGPD, estão compreendidos os dados de todas as
pessoas físicas identificadas por tais dados ou identificáveis por eles.

Para melhor compreender o que isso significa, observe a imagem a seguir.
DADOS QUE ESTÃO LIGADOS, DIRETAMENTE,
À PESSOA E A IDENTIFICAM INSTANTANEAMENTE
Nome e Sobrenome
CPF
DNA
Impressões digitais
Sexo
Cor da pele
Data de nascimento
DADOS PESSOAIS QUE, ISOLADAMENTE,
NÃO IDENTIFICAM SEU TITULAR
Perceba que, a princípio, se você tem a data de nascimento de alguém, isso apesar de ser um dado
pessoal, isoladamente, não servirá para identificar ninguém, pois há milhares de pessoas nascidas em
uma mesma data. Porém, se for feita uma associação desse dado, a algum outro dado pessoal, ou
contexto, o titular desse dado poderá ser identificado.
Agora, compreenda como a associação de dado pessoal e contexto pode auxiliar na identificação do
titular de um dado.

Exemplo
Imagine que você tenha a data de nascimento de alguém: 29/02/1980. O famoso dia do ano bissexto,
aquele que só é acrescentado ao calendário de 4 em 4 anos.
Pois bem, ao analisá-lo de forma isolada, você saberá que, em todo o mundo, muita gente nasceu
nesta data, impossibilitando identificar a qual dessas pessoas pertence esse dado. Só a título de
curiosidade, segundo o World Data Lab, 278.841 pessoas nasceram nessa data no mundo.
Porém, se essa análise ocorrer dentro de um contexto menor, por exemplo, no ambiente de uma
empresa de médio porte, é possível que, com a simples menção da data de nascimento, você
identifique o colaborador que tenha nascido neste dia, pois o universo de comparação reduziu-se
significativamente. Assim, chamamos o titular de pessoa identificável.
Ainda nas categorias de dados, o legislador nos trouxe, no Art. 5º, inciso II, o conceito de dados sensíveis:
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político,
dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma
pessoa natural;
Figura 2 - Dados sensíveis
DADOS
SENSÍVEIS
Ao diferenciar tais dados, quis a LGPD, na esteira das principais leis de proteção de dados ao redor do
mundo, conferir proteção extra ao titular de dados, quando esses envolverem temas polêmicos ou de
foro íntimo, capazes de gerar algum tipo de discriminação ou preconceito.

Agora, observe a seguir, dois exemplos de dados sensíveis.

Ÿ Ao informar sua religião, você pode sofrer com a prática de
bullying dentro da organização.

Ÿ Ao saber que uma pessoa é portadora de determinada doença,
uma empresa pode decidir por excluí-la de um processo seletivo.
Assim, os dados sensíveis possuem regras de utilização mais restritas, exigindo cuidados redobrados
no seu tratamento.
A terceira categoria de dados, envolve os chamados “dados anonimizados”. Diz o Art. 5º, inciso III, da
LGPD:
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Esses são os casos nos quais se extrai determinados dados de uma base, geralmente para fins esta�
tísticos ou quantitativos, em que não será levada nenhuma outra informação capaz de identificar os
titulares desses dados.
Para melhor compreender os dados anonimizados, acompanhe o exemplo a seguir.
Exemplo
Em uma pesquisa da média1
de idade de colaboradores de uma empresa, colhem-se apenas as datas
de nascimento de todos os colaboradores, sem que isso signifique a capacidade de, isoladamente,
fornecer a identificação de alguém.
1
Resultado da soma de todas as informações de um conjunto de dados dividida pelo número de dados que foram
somados.
Você sabia que a lei estabelece ainda, tratamento diferenciado para dados de crianças
dados de crianças e adolescentes
adolescentes?
É preciso consentimento específico e em destaque de pelo menos um dos pais ou do responsável
legal, para que haja conformidade no tratamento de dados.
Outro aspecto a ser considerado, é que, quanto à sua formatação, a lei não faz distinção entre dados
digitais e dados analógicos, concedendo o mesmo nível de proteção a ambos.

Assim, tanto os arquivos de bases de dados de um software, armazenados em um determinado ser�
vidor, quanto eventuais fichas, formulários e papéis existentes na empresa, podem conter dados
pessoais e deverão ser mapeados.
Por fim, vale destacar que os dados pessoais podem ser do tipo “estruturados” ou “não estruturados”.
Agora, compreenda as diferenças entre esses tipos de dados.
Dados estruturados
Quando pertencentes a um banco de dados ou planilha, organizados sob a forma de tabela
e sequencialmente dispostos em cada registro.
Dados não estruturados
São os dados que carecem de uma estrutura prévia de alocação, podendo aparecer sob
diferentes formatos e meios de armazenamento.
Figura 3 - Dados estruturados X Dados não estruturados
DADOS ESTRUTURADOS DADOS NÃO ESTRUTURADOS
0.103 0.176 0.387 0.300 0.379
0.333 0.384 0.564 0.587 0.857
0.421 0.309 0.654 0.729 0.228
0.266 0.750 1.056 0.936 0.911
0.225 0.326 0.643 0.337 0.721
0.187 0.586 0.529 0.340 0.829
0.153 0.485 0.560 0.428 0.628
Fonte: Adaptada de Laserfiche®
(2019).
Que tal conhecer alguns exemplos de dados não estruturados?
Dados pessoais constantes em um texto qualquer, que tenha sido digitalizado em formato PDF.
Imagens de pessoas postadas em redes sociais.
Textos, áudios ou vídeos constantes de aplicativos de troca de mensagens, como o WhatsApp.

Em função disso, vale lembrar que ao se pensar em segurança dos dados pessoais, deve-se proteger
também os dados não estruturados, pois muitas vezes, é deles que vazam características e detalhes
que podem comprometer a privacidade, a intimidade ou a honra do titular.
1.2 O PAPEL DA TECNOLOGIA DA INFORMAÇÃO
Embora já saibamos que a LGPD concede igual nível de proteção, sem distinguir os dados digitais
dos dados analógicos, o fato é que o avanço tecnológico proporcionou os insumos necessários para
a disseminação do uso de dados pessoais, principalmente, em função da quebra de duas restrições
técnicas, que dificultavam o tratamento de dados no passado. Agora, descubra quais são essas duas
restrições técnicas que foram quebradas pelo avanço tecnológico.
A capacidade de armazenamento de dados.
A velocidade de processamento dos dados.
Agora, que tal compreender essas duas restrições técnicas?
Capacidade de armazenamento de dados
Nos primórdios da computação, cada byte economizado na gravação de um determinado
dado, representava uma economia significativa para desenvolvedores e usuários de siste�
mas computadorizados. Não foi à toa que, na virada do ano 2000, o mundo se viu às voltas
com o chamado “Bug do Milênio”.
Esse aparente erro de interpretação de data nos softwares, na verdade ocorria somente
porque os programadores da época, no intuito de economizar espaço de armazenamento
em disco, ao invés de gravarem as datas no formato DD/MM/AAAA, com quatro dígitos no
ano, utilizavam o formato DD/MM/AA, com apenas dois dígitos no ano, poupando, assim,
dois preciosos bytes a cada data armazenada.
Figura 4 - Centro de processamento de dados
Fonte: Wikimedia Commons (2019).

Porém, com a virada do milênio, os sistemas passaram a entender as datas do ano 2000,
gravadas apenas com 00, como significando 1900, gerando imensa confusão e obrigando
as empresas de TI (Tecnologia da Informação) a gastarem vários bilhões de dólares com o
custo da adequação dos sistemas.
A realidade atual é absolutamente outra. Hoje, o custo de armazenagem de dados caiu
vertiginosamente. Em tempos de big data, data warehouse e data mining, o que se prega
é exatamente o contrário: armazene a maior quantidade possível de informações sobre
seus clientes, fornecedores e seja lá tudo o mais que possuam dados, com os quais você se
relaciona ou pretende se relacionar. Afinal, os dados, agora, são valiosíssimos. Então, quanto
mais eu puder armazenar, mais poderei explorar.
Velocidade de processamento dos dados
Esse ponto de inflexão no tratamento de dados ocorreu, diretamente, em função de um
aspecto exclusivamente técnico. As máquinas passaram, gradativamente, a poder proces�
sar uma quantidade muito maior de dados, cada vez em menos tempo, de forma segura e
barata.
Entre o pessoal da área de Tecnologia da Informação é muito conhecida a chamada “Lei de
Moore”. Essa lei refere-se a uma “profecia” realizada por Gordon Earle Moore, presidente
da Intel na época, em meados dos anos 60. Segundo essa lei:
“A velocidade de processamento das máquinas dobra a cada dezoito meses.”
Figura 5 - Gordon Earle Moore
Fonte: Flickr da Intel Free Press (2013).
Big data: Termo que descreve o grande volume de dados - estruturados e não estruturados - que impactam
os negócios diariamente.
Data warehouse: Depósito de dados digitais que serve para armazenar informações detalhadas relativas
a uma empresa, criando e organizando relatórios através de históricos que serão usados, posteriormente,
pela empresa para ajudar na tomada de decisões importantes.
Data mining: A tradução dessa expressão é mineração de dados. Consiste em uma funcionalidade que
agrega e organiza dados, encontrando neles: padrões, associações, mudanças e anomalias relevantes.

A verdade é que aquilo que Moore profetizou, tornou-se realidade e hoje o céu é o limite.
O crescimento exponencial da capacidade das máquinas em armazenar e processar
velozmente os dados, abriu margem a uma série de combinações algorítmicas, antes
inimagináveis, possibilitando cruzamentos de dados e obtenção de informações detalhadas
e complexas, a cabo de uns poucos segundos.
Saiba mais
Para conhecer um pouco mais sobre a Lei de Moore e compreender o porquê você deve se preocupar
com o fim dela, clique aqui. Boa leitura!
Ora, se o grande objetivo de se coletar e armazenar dados é produzir informações valiosas a partir de
seu processamento, e se fazer isso, do ponto de vista tecnológico, se tornou rápido e barato, então
as empresas irão buscar cada vez mais obter dados para dar sequência a essa produção de riqueza...
1.3 A NECESSIDADE DE SE PROTEGER OS DADOS PESSOAIS
Diante de um cenário tecnológico extremamente favorável, algumas grandes empresas da área come�
çaram a exercer um poder oculto, mascarando as reais finalidades das coletas de dados, direcionando
informações, influenciando decisivamente nas escolhas feitas pelas pessoas.
Foi nesse momento, ante a necessidade de se colocar freios na utilização abusiva dos dados pessoais,
que as legislações de proteção, antes tímidas, esparsas e setorizadas, foram ganhando corpo, até
se transformarem em um sistema transnacional e efetivo de proteção de dados, dotado de imensa
capacidade coercitiva.
Ao analisarmos as principais legislações de proteção de dados pelo mundo, concluiremos que seus
princípios basilares são sempre os mesmos, buscando manter:
A liberdade,
A privacidade e
A capacidade de autodeterminação informativa das pessoas.
Agora é com você!
Agora, antes de prosseguir com seus estudos e conhecer a evolução histórica da legislação de dados
pessoais, acesse o Material de Estudo deste curso no Ambiente Virtual de Aprendizagem (AVA) e
realize a atividade de Reflita e Responda proposta
Poder do indivíduo determinar e controlar a utilização de seus dados pessoais.

Na nossa preparação para compreendermos, adequada�
mente, o funcionamento da LGPD, este tópico abordou
o contexto atual dos aspectos relacionados à proteção
de dados pessoais. Tivemos a oportunidade de entender
as razões para a alta valorização dos dados pessoais e o
quanto a evolução tecnológica influenciou nisso. E vimos,
também, a necessidade premente de se criar regras que
possam coibir os abusos que vêm ocorrendo com a utili�
zação indiscriminada de nossos dados.
No próximo tópico, veremos como está ocorrendo a evolução dessas regras em um mundo globalizado
e sua ligação com os sistemas regulatórios de compliance.
Mas, antes de compreender a evolução da legislação de dados pessoais, que tal conferir o texto oficial da
LGPD na íntegra?
Para isso, clique aqui. Boa leitura!
Imediata, urgente.
PESSOAS FÍSICAS
DADOS PESSOAIS
DADOS
ANONIMIZADOS
DADOS ESTRUTURADOS
PESSOA IDENTIFICÁVEL
DADOS SENSÍVEIS
INFORMAÇÃO
DADOS
DIGITAIS
DADOS ANALÓGICOS
PROCESSAR
VALOR
LGPD
ARMAZENAR
DADOS NÃO ESTRUTURADOS

2 EVOLUÇÃO HISTÓRICA DA LEGISLAÇÃO DE DADOS PESSOAIS
A preocupação com a preservação dos dados pessoais não é algo novo. Nasceu, praticamente, com a
própria sociedade, pois desde tempos imemoriais, sabe-se que o direito à privacidade, à intimidade e
ao sigilo das conversas sempre foi importante para a harmonia social e para o bom desenvolvimento
das relações humanas.
Figura 6 - O antivírus
Ufa!!! Que bom que tenho
um excelente antivírus.
Nossa,
um vírus!
Fonte: Adaptada de Blog Bit Atualidades - Charges sobre informática (2011).
Mas, o fato é que o surgimento de novas tecnologias, com expoência para a disseminação do uso do
computador a partir da década de 40, proporcionaram um significativo incremento nas formas de
coleta, armazenamento e processamento de dados. Conclusões, análises de resultados e cálculos esta�
tísticos, que outrora levavam meses para ficarem prontos, agora estavam a poucas horas de distância.
Por outro lado, com o advento da Segunda Guerra Mundial, a preocupação com o uso abusivo dos
dados pessoais cresceu significativamente, fazendo nascer toda uma cultura de proteção de dados.
Isso aconteceu, notoriamente, na Europa, onde milhões de seres humanos foram condenados à
morte nas câmaras de gás, unicamente pelo fato de terem seus dados pessoais revelados, seja em
razão da sua fé professada, de seu sobrenome, local de nascimento ou grupo étnico.
Em tempos passados, antigamente.

2 - Evolução histórica da legislação de dados pessoais
Figura 7 - Judeus húngaros na Judenrampe (rampa judaica) depois de desembarcar dos trens do Holocausto. Várias fontes acreditam
que o fotógrafo tenha sido Ernst Hoffmann ou Bernhard Walter
Fonte: Wikimedia Commons (2019).
Assim, no pós-guerra, com o surgimento das primeiras legislações nacionais, tratou-se logo de estabe�
lecer mecanismos de controle sobre o uso dos dados pessoais.
A retomada das negociações comerciais entre os países e a livre circulação de pessoas, com a cons�
tituição da União Europeia, também contribuíram decisivamente para o aprimoramento das leis de
proteção de dados.
Por outro lado, o incremento na capacidade de armazenamento de dados, aliado ao exponencial
desenvolvimento da velocidade de processamento das máquinas, abriram margem ao aumento
significativo nos volumes de dados pessoais tratados e, consequentemente, à necessidade de se criar
regras e limites para a proteção dos direitos dos titulares desses dados.
2.1 LEGISLAÇÃO DE PROTEÇÃO DE DADOS: UM FENÔMENO DA GLOBALIZAÇÃO
Na medida em que a sociedade criava e diversificava os diferentes meios de comunicação, as primeiras
leis visando preservar a privacidade das pessoas foram surgindo. Mas estamos falando de normas
esparsas, iniciativas isoladas em um país aqui e outro ali.
Quando olhamos para a legislação de proteção de dados de maneira sistêmica, estruturada, com leis
padronizadas e de aplicabilidade geral, o que percebemos é que isso só começou a ocorrer a partir do
momento em que intensificaram-se as relações de comércio internacional, capitaneadas pelas novas
facilidades tecnológicas. Diversas atividades de processamento de dados, que antes ficavam restritas
a uma determinada localização física, passaram a ser executadas em diferentes pontos do globo.

Alguns fatores permitiram que os mesmos processadores que operavam na Europa e nos Estados
Unidos (EUA), estivessem em uso, ao mesmo tempo, em países distantes como Índia ou China, sendo
que esses fatores são:
O aprimoramento das redes de telecomunicação,
A quebra de barreiras comerciais e
Os acordos de cooperação técnicos.
A tecnologia acompanhou o fenômeno mundial da globalização. E, na esfera do tratamento de dados,
não foi diferente. Os grandes data centers (Figura 8), antes centralizados no primeiro mundo, foram
deslocados para os mais diversos países. Soma-se a isso o incremento no volume mundial de transa�
ções on-line. É natural que houvesse a necessidade de se proteger os dados. Principalmente, os dados
pessoais, ante a sua exponencial valorização.
Figura 8 - Data center
Fonte: iStock (2019).
Assim, os países em que não existia qualquer lei de proteção de dados pessoais, passaram a ser pres�
sionados para se adequar a essa exigência, a fim de poder garantir a continuidade das transações de
compartilhamento e transferência internacional de dados, mantendo o mesmo nível de segurança
existente nos países mais avançados nessa cultura.
Se não fosse a globalização, desencadeada, principalmente, a partir da virada do milênio, muitas nações
ainda estariam na pré-história do nível de proteção de dados pessoais.
Data center, também conhecido como centro de processamento de dados, é o local em que
estão concentrados os servidores, equipamentos de processamento e armazenamento de
dados, além dos sistemas de ativos de rede (como switches e roteadores) de uma organização.

2.2 O COMPLIANCE NA ORIGEM DO SISTEMA DE PROTEÇÃO DE DADOS PESSOAIS
Um aspecto a ser destacado, quando falamos em proteção de dados pessoais como um sistema, é
que em sua essência, ele deriva, diretamente, dos padrões das chamadas normas de compliance.
Informação
A palavra compliance, vem do verbo em inglês to comply, que significa, em tradução livre, “fazer
cumprir”, ou seja, realizar aquilo que foi combinado, respeitar o que está acordado, respeitar a lei, agir
de acordo com um regulamento.
Figura 9 - Compliance
COMPLIANCE
REGULAMENTAÇÃO
GOVERNO
PADRONIZAÇÃO
REQUERIMENTOS
TRANSPARÊNCIA
POLÍTICAS
LEIS
REGRAS
Apesar de o termo ser conhecido há muito tempo, as iniciativas de compliance ganharam força a partir
dos grandes escândalos de corrupção ocorridos nos Estados Unidos, com a falência das gigantescas
companhias Enron e WorldCom, envolvendo ainda uma das principais empresas de auditoria do mundo.
Leis complexas surgiram para regulamentar as áreas de finanças e de contabilidade, como é o caso
da Lei Sarbanes Oxley nos EUA. A auto-regulamentação ganhou força. Surgiram os programas de
integridade e ética empresarial.
A Lei Sarbanes Oxley teve como “objetivos estabelecer sanções que coíbam procedimentos não
éticos e em desacordo com as boas práticas de governança corporativa por parte das empre�
sas atuando do mercado americano. O objetivo final é o de restabelecer o nível de confiança
nas informações geradas pelas empresas e, assim consolidar a teoria dos mercados eficientes que
norteia o funcionamento do mercado de títulos e valores mobiliários” (BORGERTH, 2005).

O mercado passou a ter um olhar diferenciado para as empresas que possuíssem a cultura de
compliance implementada e efetiva. As chamadas “leis de compliance” multiplicaram-se ao redor do
mundo, mantendo características semelhantes em sua formatação, tendo sempre como princípios:

Ÿ a boa-fé,

Ÿ a ética e

Ÿ a responsabilidade.
Foram previstas sanções pesadas aos infratores e atenuantes significativas, para aqueles que de�
monstrassem manter uma estrutura interna de integridade.
Quando analisamos as leis de proteção de dados pessoais, quanto à sua natureza e forma, nos
deparamos com as mesmas características. Não há a menor dúvida, de que se tratam de normas de
compliance, focadas em um ponto específico: proteção da privacidade.
Agora que você já entendeu um pouco mais sobre a legislação e as normas de compliance, vamos dar
uma volta ao mundo e verificar como diferentes países e continentes estão tratando a proteção de dados
da sua população?
2.3 A PROTEÇÃO DE DADOS PESSOAIS PELO MUNDO
Você sabia que, atualmente, vários países do mundo já consolidaram sua legislação de proteção de dados
pessoais?
Agora, observe como estava esse cenário em novembro de 2019.
Figura 10 - Mapa da Proteção de dados pessoais ao redor do mundo
País fortemente adequado (GDPR)
País adequado
País parcialmente adequado
Autoridade nacional e lei(s) de proteção de dados pessoais
Lei(s) de proteção de dados pessoais
Sem lei(s) especíﬁca(s) sobre o tema
Fonte: Commission Nationale de l’Informatique et des Libertés (2019).

Saiba mais
Ficou curioso(a) para saber como está esse mapa neste momento?
Que tal matar essa curiosidade!?! Para isso, clique aqui. Observe que no mapa deste link é possível
obter mais informações sobre a proteção de dados pessoais de cada país, clicando no mapa do
respectivo país. Essas informações, assim como a legenda do mapa, estão em inglês.
Europa Ásia
Estados Unidos África América Latina
Quando o assunto é a proteção de dados pessoais, os europeus sempre estiveram à frente. Confira,
na linha do tempo a seguir, como a evolução na proteção de dados ocorreu na Europa.
1970
A primeira lei específica sobre proteção de dados pessoais é publicada no Estado de Hesse,
na Alemanha. Trata-se do Hessiches Datenschutzgesetz (Ato de Proteção de Dados de Hesse).
1973
A Suécia publica a primeira lei nacional de proteção de dados, o Ato de Dados Sueco.
Nos anos seguintes, vários países da Europa vão pelo mesmo caminho.
1992
É criada a União Europeia.
1995
Entra em vigor a Diretiva 95/46/CE, tratando, especificamente, da proteção de dados pes�
soais para todos os países membros da União Europeia.
2016
A Diretiva 95/46/CE foi substituída pela GDPR - General Data Protection Regulation, que
entrou em vigor em 2018.
Você sabia que a GDPR serviu de base para a nossa Lei Geral de Proteção de Dados Pessoais?

Saiba mais
A GDPR é conhecida em Portugal como RGPD - Regulamento Geral
sobre a Proteção de Dados. Para conhecer essa legislação, clique aqui.
Você deve ter percebido que essa legislação apresenta um conjunto
de regras para as empresas ativas na União Europeia, que recolhem,
armazenam e utilizam dados pessoais. Para compreender alguns
aspectos importantes da GDPR, clique aqui.
Boa leitura!
Mas, e os EUA? Como será que esse país regulamenta o uso dos dados pessoais?
Estados Unidos Ásia
Europa África América Latina
Você sabia que os Estados Unidos adotam um modelo legislativo diferente do nosso?
Baseado na Common Law, os americanos dão preferência aos direitos dos usos e costumes às regras
escritas. Assim, procuram valorizar muito a jurisprudência, as decisões dos tribunais e evitam a proli�
feração de leis.
Mesmo assim, sendo o berço das maiores empresas de tecnologia do mundo, os Estados Unidos
também possuem algumas normas, que regulamentam o uso dos dados pessoais, sem, entretanto,
possuir uma legislação geral em vigor.
Nos EUA, a primeira norma nesse sentido foi o Privacy Act, de 1974. O objetivo dessa norma é equilibrar
a necessidade do governo de manter informações sobre os indivíduos com os direitos deles de serem
protegidos contra invasões injustificadas de sua privacidade, resultantes da coleta, manutenção, uso e
divulgação de informações pessoais (U.S. SMALL BUSINESS ADMINISTRATION, 2019).
Sistema de Direito cuja aplicação de normas e regras não estão
escritas, mas sancionadas pelo costume ou pela jurisprudência.

PRIVACY ACT
Necessidade do governo
de manter informações
sobre os indivíduos
Direito de proteção contra
invasões injustiﬁcadas
de privacidade
Depois seguiram-se outras normas, de forma setorizada e/ou localizada.
Vamos conhecê-las?
HIPPA
A Health Insurance Portability and Accountability Act (Lei de Portabilidade e Responsabilidade
do Seguro de Saúde) trata da proteção de dados na área da saúde.
COPPA
A Children’s Online Privacy Protection Act (Lei de Proteção à Privacidade On-line das Crianças)
trata da proteção de dados de crianças na Internet.
CCPA
A California Consumer Privacy Act (Lei de Privacidade do Consumidor da Califórnia) é conside�
rada, por muitos, mais rigorosa do que a própria GDPR europeia. Essa lei criou novos direitos
do consumidor, relacionados ao acesso, exclusão e compartilhamento de informações pes�
soais coletadas pelas empresas.
Atualmente, há uma grande pressão para que o Congresso Americano aprove uma lei geral de prote�
ção de dados pessoais, uniformizando as regras para todo o país.

Ásia
Estados Unidos
Quando pensamos na proteção de dados pessoais nos países asiáticos, dois países nos chamam a
atenção:

Ÿ Japão: pois, quando se trata de conformidade, correção e cumprimento de normas, logo
nos vem à mente a tradicional disciplina japonesa. Por isso, é de se esperar que nesse país
exista algo sobre a proteção dos dados pessoais.

Ÿ China: devido a seu regime comunista e por sua população ultrapassar 1 bilhão de pessoas.
Agora, vamos conhecer como esses países tratam a proteção de dados pessoais?
Desde 2005, o Japão tem o chamado “Ato de Proteção de Dados Pessoais”, que regulamenta os inte�
resses dos indivíduos no processamento de seus dados por parte das empresas. Já na China, a Lei de
Cibersegurança oferece algum tipo de proteção de dados pessoais para os cidadãos.
Ásia
Estados Unidos
Apesar da grande diversidade de etnias e culturas, das restrições econômicas e do instável ambiente
político, a África surpreende positivamente quando se fala de iniciativas legislativas para a proteção
de dados pessoais.
Agora, conheça alguns dos principais países africanos que já possuem legislação sobre privacidade de
dados:
Angola,
África do Sul,
Gana,
Costa do Marfim,
Senegal,

Marrocos,
Tunísia.
E ainda existem importantes iniciativas no sentido de uniformizar tais legislações, como é o caso:

Ÿ da Lei Modelo da SADC (Comunidade para o Desenvolvimento da África Austral) e

Ÿ das Diretrizes Relativas à Proteção de Dados Pessoais na África, elaborada pela Comissão
da União Africana, em conjunto com a Internet Society.
Ásia
Estados Unidos
Na América Latina, quando se trata de proteção de dados pessoais, infelizmente nós, brasileiros,
estamos longe de exercer nossa condição de líderes naturais. Na verdade, somos um dos países mais
atrasados, no que diz respeito a esse tema.
Mas, como estão os outros países da América Latina?
Observe, na imagem a seguir, alguns países da América Latina que têm leis de proteção de dados pessoais.
PAÍSES QUE TÊM LEIS GERAIS DE PROTEÇÃO DE DADOS PESSOAIS, INCLUSIVE,
HOMOLOGADAS PELA UNIÃO EUROPEIA COMO EQUIVALENTES À GDPR
PAÍSES QUE POSSUEM LEIS PRÓPRIAS PARA TRATAR DOS DADOS PESSOAIS
Argentina
(2000)
Uruguai
(2009)
Chile Colômbia Peru México

Agora é com você!
Agora, antes de prosseguir com seus estudos e compreender a proteção de dados pessoais no Brasil,
acesse o Material de Estudo deste curso no AVA e realize a atividade de Reflita e Responda proposta.
Como vimos, diversos países ao redor do mundo já
adotam leis gerais de proteção de dados ou, no mínimo,
possuem alguma legislação esparsa que trate desse
assunto. Em geral, são leis, relativamente, recentes.
Mas, e como está o Brasil em relação a esse assunto?
Na sequência, veremos que o Brasil não fugiu à regra, embora estejamos consideravelmente atrasa�
dos quando o tema é a proteção de dados pessoais.
Caso você ainda não tenha conferido o texto oficial da LGPD na íntegra, que tal fazê-lo agora?
Para isso, clique aqui. Lembre-se de que conhecer essa lei, em sua íntegra, é importante para uma
melhor compreensão deste curso. Boa leitura!
EUROPA
PROTEÇÃO DE DADOS PESSOAIS
LEGISLAÇÃO
COMPLIANCE
GLOBALIZAÇÃO
AMÉRICA LATINA
ÁFRICA
ÁSIA
EUA
GDPR

3 A PROTEÇÃO DE DADOS PESSOAIS NO BRASIL
Historicamente, a legislação brasileira adotou o modelo positivista do Direito, denominado de Civil
Law, das escolas lusitanas, alemãs e italianas, que privilegiam o direito escrito, em contraponto ao
Direito Consuetudinário, o chamado Common Law, baseado nos usos e costumes, adotado pelos
países da comunidade britânica e pelos EUA. Tal tradição, reflete-se em uma natural demora para a
concretização de todo o processo legislativo, que vai desde a ideia inicial, à criação do projeto de lei,
que passa pela necessidade de aprovação bicameral e, posteriormente, pela sanção presidencial, para
finalmente, passar a vigorar com força coercitiva. Agora, visualize de forma gráfica como isso ocorre.
Ideia
inicial
Criação do
projeto de lei
Aprovação
bicameral
Sanção
presidencial
Publicação
da lei
Desse modo, e sem ponderar sobre questões políticas ou interesses partidários, que constantemente
se sobrepõem ao desejo da população, nosso país é reconhecido por uma certa lentidão, quando se
trata de regulamentar questões culturais e comportamentais como é o caso das leis que versam sobre
a proteção de dados pessoais.
Nossas primeiras (e tímidas) tratativas, remontam a poucos e esparsos artigos, os quais abordavam o
direito à proteção de dados pessoais de forma rasa e genérica como veremos logo adiante.
A evolução, nesse sentido, só ocorreu de fato a partir da pressão internacional para que adotássemos
mecanismos de proteção de dados pessoais equivalentes aos dos países do bloco europeu, culminando
na promulgação da LGPD – Lei Geral de Proteção de Dados Pessoais.
Mas, antes de compreender melhor a LGPD, prossiga com seus estudos e conheça como a Constituição
Federal, de 1988, deu os primeiros passos em termos de uma legislação para a proteção de dados pessoais.
3.1 OS PRIMEIROS PASSOS
Em termos de legislação específica para a proteção de dados pessoais, mesmo que em nível setorial, o
Brasil demorou muito tempo para realizar as primeiras iniciativas, sendo que elas ocorreram, somente,
com a promulgação da Constituição Federal de 1988.
É o instrumento que declara a existência da lei e ordena sua execução. Emendas constitucionais são pro�
mulgadas pelas Mesas da Câmara e do Senado, em sessão solene do Congresso. A promulgação das leis
complementares e ordinárias é feita pelo presidente da República e ocorre simultaneamente com a sanção.

3 - A proteção de dados pessoais no Brasil
CONSTITUIÇÃO FEDERAL DE 1988
O seu Art. 5º trata dos direitos e
garantias fundamentais do cidadão.
Apresenta alguns dispositivos que fazem
menção a questões relacionadas à
privacidade e inviolabilidade dos dados.
CONSTITUIÇÃO
1988
Agora, que tal conhecer como esse artigo da Constituição Federal trata essas questões relacionadas à
privacidade e inviolabilidade dos dados (grifos nossos)?
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos
brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade,
à igualdade, à segurança e à propriedade, nos termos seguintes:
[...]
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas
são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o
direito a indenização pelo dano material ou moral decorrente de sua violação;
[...]
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das
é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das
comunicações telefônicas
comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma
que a lei estabelecer para fins de investigação criminal ou instrução processual penal;
A propósito, o inciso XII foi regulamentado, posteriormente, em 1996, pela Lei nº 9.296, que trata
sobre a interceptação das comunicações telefônicas.
E o Código de Defesa do Consumidor? Será que ele trata sobre algum aspecto relacionado à proteção
de dados pessoais?

3.2 O CÓDIGO DE DEFESA DO CONSUMIDOR
Promulgado pela Lei nº 8.078, de 11 de setembro de 1990, o Código de Defesa do Consumidor (CDC)
estabeleceu em seu Art. 43:
Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações
existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele,
bem como sobre as suas respectivas fontes.
§ 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em
linguagem de fácil compreensão, não podendo conter informações negativas referentes a
período superior a cinco anos.
§ 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada
por escrito ao consumidor, quando não solicitada por ele.
§ 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá
exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a
alteração aos eventuais destinatários das informações incorretas.
§ 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito
e congêneres
congêneres1
são considerados entidades de caráter público.
§ 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas,
pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir
ou dificultar novo acesso ao crédito junto aos fornecedores.
§ 6º Todas as informações de que trata o caput
caput2
deste artigo devem ser disponibilizadas
em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do
consumidor.
1
Que apresentam a mesma natureza ou caráter semelhante.
2
Termo que designa o enunciado de um artigo de lei, com incisos, alíneas e/ou parágrafos.
Assim, como você pôde compreender pela leitura do artigo, pela primeira vez na legislação brasileira,
concedeu-se a garantia de acesso aos dados do titular, exigindo-se, ainda, clareza e objetividade das
informações. Outro direito que foi previsto pelo CDC, diz respeito à possibilidade de o consumidor
exigir a correção de seus dados cadastrais.
Vale lembrar, que, embora as previsões apresentadas no Art. 43 do CDC, tenham oferecido algum
avanço em termos de proteção de dados pessoais, sua abrangência é limitada, em função de tal ins�
trumento ser aplicável somente às relações de consumo.

Ou seja, o alcance da proteção fica relacionado à existência de um fornecedor de um lado e de um
consumidor de outro, no âmbito dos conceitos legais estabelecidos nos Art. 2º e 3º do Código de
Defesa do Consumidor.
Você, provavelmente, já ouviu falar sobre o Marco Civil da Internet. Talvez, até já tenha lido sobre ele.
Mas, você sabe como ele trata proteção de dados pessoais? Que tal descobrir?
3.3 O MARCO CIVIL DA INTERNET
A Lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Civil da Internet, estabeleceu uma série
de princípios e garantias, direitos e deveres para o uso da Internet no Brasil.
O Marco Civil da Internet, além de garantir a privacidade e proteção de dados pessoais, assegura a
disponibilização desses dados mediante ordem judicial (Figura 11).
Figura 11 - Marco civil e proteção de dados pessoais
MANDADO
JUDICIAL
Fonte: Adaptada do Tribunal de Justiça do Distrito Federal e dos Territórios (2015).
Apesar de ter inserido, em seus princípios, a proteção de dados pessoais (Art. 3º, inciso III), o Marco
Civil da Internet foi muito tímido ao tratar dessa questão.
Segundo o CDC, “fornecedor é toda pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, bem como
os entes despersonalizados, que desenvolvem atividade de produção, montagem, criação, construção, transformação,
importação, exportação, distribuição ou comercialização de produtos ou prestação de serviços”.
Consumidor, de acordo com o CDC, “é toda pessoa física ou jurídica que adquire ou utiliza produto ou serviço como
destinatário final”.

Os incisos I a III e VII a X do Art. 7º, dessa legislação, abordam os direitos dos titulares de dados pessoais:
Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados
os seguintes direitos:
I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano
material ou moral decorrente de sua violação;
II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem
judicial, na forma da lei;
III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem
judicial;
[...]
VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de
acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou
nas hipóteses previstas em lei;
VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção
de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de
aplicações de internet;
IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais,
que deverá ocorrer de forma destacada das demais cláusulas contratuais;
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de
internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses
de guarda obrigatória de registros previstas nesta Lei;
Além disso, em sua Seção II, nos Artigos 10 a 12, o Marco Civil tratou de alguns aspectos da respon�
sabilidade de proteção dos dados pessoais pelos provedores de acesso e nas operações realizadas
através da Internet, prevendo algumas sanções.
Perceba que isso é muito pouco, considerando a diversidade e a quantidade de transações de dados
pessoais que são realizadas todos os dias em nosso país. Precisávamos, sem dúvida, de uma legislação
mais robusta.
3.4 FINALMENTE, UMA LEI GERAL!
Finalmente, em 2018, o Projeto de Lei da Câmara dos Deputados nº 53, de 2018, que substituiu outros
três projetos do Senado Federal, os quais tramitavam desde 2013, foi aprovado e transformou-se na Lei
nº 13.709, de 14 de agosto de 2018, a nossa Lei Geral de Proteção de Dados Pessoais, a chamada LGPD.
Transitavam pelos trâmites legais, passando por cada uma
das etapas e diligências indicadas na Constituição Federal.

Figura 12 - LGPD
LGPD
Moderna, complexa e imponente, a Lei Geral de Proteção de Dados Pessoais teve forte inspiração na
GDPR, o regulamento europeu de proteção de dados, sem, porém, descer às minúcias deste.
Agora é com você!
Agora, acesse o Material de Estudo deste curso no AVA e realize a atividade de Reflita e Responda
proposta sobre a proteção de dados pessoais no Brasil.
Ao estudarmos o histórico legislativo da proteção de
dados no Brasil, podemos perceber que não possuíamos,
até pouco tempo atrás, qualquer tipo de preocupação com os
dados pessoais, refletindo na nossa quase inexistente cultura
de proteção de dados. Somos um povo liberal, comunicativo
e de certa forma, avesso a amarras e proibições.
Com o passar do tempo, foi necessário adequarmos nossa mentalidade e aceitar as regras do jogo
em um cenário mundial muito mais interativo, culminando na adoção de uma Lei Geral de Proteção
de Dados Pessoais, a LGPD.
No próximo tópico, você conhecerá os principais conceitos e características da LGPD, que tanto afetou
o cotidiano das empresas e de seu relacionamento com pessoas físicas, sob todos os ângulos.
Detalhes, pormenores.
PRIVACIDADE
MARCO CIVIL DA INTERNET
LEGISLAÇÃO
CONSUMIDOR
FORNECEDOR
PROVEDORES
CONSENTIMENTO
INVIOLABILIDADE
DADOS PESSOAIS
CONSTITUIÇÃO FEDERAL
CDC
SIGILO
PROTEÇÃO
CADASTRO
LGPD

4 ENTENDENDO A LGPD – A NOSSA LEI GERAL DE
PROTEÇÃO DE DADOS PESSOAIS
Agora que você já compreendeu a importância dos dados pessoais e o motivo pelo qual surgiram as
legislações que tratam dessa matéria, é chegada a hora de conhecer a LGPD - a Lei Geral de Proteção
de Dados Pessoais do Brasil.
Agosto de 2018
Promulgada em 14 de agosto de 2018, pelo então presidente Michel Temer, a LGPD trata-se
da Lei nº 13.709, fruto do Projeto de Lei da Câmara nº 53, de 2018. Porém, na ocasião, o
presidente Temer, preocupado com a falta de recursos para a criação da Autoridade
Nacional de Proteção de Dados (ANPD), vetou todo o Capítulo IX da lei, que tratava da criação
e da constituição do órgão. Como consequência, a LGPD, correria o risco de tornar-se “letra
morta”, uma vez que não haveria nenhum órgão de controle no governo federal, com a res�
ponsabilidade de orientar, fiscalizar e punir as entidades, no âmbito da aplicação da lei.
Dezembro de 2018
No entanto, no apagar das luzes de seu governo e diante da enorme pressão recebida
pelos organismos internacionais de proteção de dados, o ex-presidente Temer publicou,
em 28 de dezembro de 2018, a Medida Provisória (MP) 869, recriando a ANPD.
Julho de 2019
Durante o transcorrer do processo legislativo no Congresso Nacional, a MP 869 recebeu
176 emendas, sofrendo algumas modificações, tendo sido finalmente aprovada. Em julho
de 2019, foi convertida na Lei nº 13.853, que alterou alguns artigos da LGPD. Após análise
por parte da Presidência da República, a Lei nº 13.853 foi promulgada, com nove vetos do
presidente Jair Bolsonaro.
Setembro de 2019
O Congresso Nacional votou e derrubou parte desses vetos do presidente Bolsonaro,
encerrando a fase legislativa.
Abril de 2020
O Presidente Bolsonaro publicou a Medida Provisória nº 959/2020, devido à COVID-19,
estabelecendo regras para o auxílio emergencial e fazendo o adiamento da vigência da
LGPD, que entraria em vigor no dia 14 de agosto de 2020, para maio de 2021.
Junho de 2020
Publicação da Lei nº 14.010/2020, postergando as sanções e punições da LGPD para agosto
de 2021.

4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais
Agosto de 2020
A Lei nº 13.853/2019 criou a ANPD – Autoridade Nacional de Proteção de Dados, dentre as
suas diversas competências, deverá interpretar, defender, aplicar sanções e multas, bem
como orientar a respeito da LGPD. Contudo, ainda faltava a sua estruturação, situação re�
solvida com a publicação do Decreto n° 10.474, de 26 de agosto de 2020.
Setembro de 2020
O Presidente Bolsonaro sancionou a Lei nº 14.058/2020, referente a MP nº 959/2020, e re�
tira o Artigo 4° que adiava a entrada em vigor da LGPD. Com a exclusão do referido artigo,
a Lei nº 13.709/2019 entra em vigor na íntegra a partir de 18 de setembro de 2020, exceto
na aplicação das multas previstas nos Artigos 52 a 54, que passarão a vigorar a partir de 01
de agosto de 2021, conforme dispõe o Artigo 65 inciso I-A da referida Lei.
A partir de 18 de setembro 2020, as empresas devem estar adequadas para a LGPD, mesmo que a apli�
cação das sanções administrativas sejam aplicadas pela ANPD, a partir de agosto de 2021. O judiciário
poderá utilizar outras normativas, como o Código de Defesa do Consumidor, para impor punições, na
ocorrência de denúncias por parte da pessoa natural, ou Ministério Público.
Figura 13 - Lei Geral de Proteção de Dados Pessoais
LGPD
18 SET
2020
Dados
Proteção
Criação
da ANPD
entrou em
vigor em
28 DEZ 2018
Estuturação
da ANPD
26 AGO 2020
Fonte: Adaptada de iStock (2019).
Apesar da aparente confusão legislativa, a LGPD é uma lei muito bem elaborada e que foi amplamente
discutida com a sociedade civil, através de diversas audiências públicas, nas quais várias entidades
tiveram oportunidade de se manifestar e fazer sugestões ao texto legal.
Você sabia que em sua essência, a LGPD é muito semelhante à GDPR (General Data Protection
Regulation, da União Europeia), criada em 2016 e que entrou em vigor em 2018?

Agora, compreenda as diferenças entre essas duas legislações de proteção de dados pessoais.
General Data Protection Regulation
Essa lei vai à miúde, procurando esgotar todo o assunto e esclarecer detalhes de sua
sistemática.
Lei Geral de Proteção de Dados Pessoais
É uma lei mais concisa que a GDPR, atribuindo à ANPD o dever de regulamentá-la e expedir
normas complementares, a fim de garantir a compreensão e a aplicabilidade da lei.
Apesar de já termos preocupações suficientes com o que já consta do texto legal da LGPD, muito ainda
estará por vir, com a normatização a ser estabelecida pela ANPD. Por ora, convém estudarmos a LGPD
na sua integralidade, o que faremos a seguir.
4.1 OBJETIVOS
A Lei Geral de Proteção de Dados Pessoais apresenta alguns objetivos. Para conhecê-los, observe a
imagem a seguir.
OBJETIVOS DA LEI GERAL DE PROTEÇÃO
PROTEGER OS DIREITOS
FUNDAMENTAIS
Dispor sobre o tratamento de
dados pessoais para proteger os
direitos fundamentais de liberdade,
privacidade e o livre desenvolvimento
da personalidade.
DESENVOLVIMENTO
DA PERSONALIDADE
As decisões tomadas pelos indivíduos são
baseadas nas informações que recebemos.
E temos o direito de receber informações
adequadas e oportunas, sem qualquer viés
ou influência oculta. E para evitar
manipulações, é fundamental proteger a
exposição de nossos dados pessoais.
LIBERDADE
Em seus fundamentos, a LGPD
destina-se a garantir ao titular dos
dados pessoais uma série de direitos
de escolha, exercendo, assim, a livre
manifestação da sua vontade.
PRIVACIDADE
Os dados pessoais formam um conjunto de
bens que pertencem ao titular e, conforme
garantia constitucional, somente a ele cabe
autorizar revelá-los ou distribui-los,
preservando, assim, o sigilo de tais
informações. Esse não é um direito
absoluto, pois comporta exceções, desde
que previstas em lei ou em regulamento.
Em função disso é que foi adotada uma “Lei Geral”, válida em todo o país e cuja matéria, por ser de
interesse nacional, será de competência exclusiva do legislativo federal.
4.2 FUNDAMENTOS
O artigo 2º da LGPD apresenta os fundamentos que serviram de base para a elaboração da lei, e que
devem ser visitados para sua correta interpretação:
LGPD

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício
da cidadania pelas pessoas naturais.
Figura 14 - Fundamentos da LGPD
FUNDAMENTOS DA
LGPD
CIDADANIA
E DIGNIDADE
PRIVACIDADE
E INTIMIDADE
LIBERDADE
AUTODETERMINAÇÃO
INFORMATIVA
CONCORRÊNCIA E DEFESA
DO CONSUMIDOR
INOVAÇÃO E
DESENVOLVIMENTO
Observe que, na essência, a fundamentação que norteia a criação da legislação de proteção de dados
pessoais está muito vinculada à afirmação de direitos dos titulares dos dados, bem como à preservação
da transparência e da boa-fé nas relações negociais.
4.3 APLICABILIDADE
A LGPD deve ser observada por pessoas físicas ou jurídicas, públicas ou privadas.
Mas, você sabe quais são os critérios de aplicabilidade dessa lei?
A LGPD tem como critérios de aplicabilidade a proteção de dados pessoais cujas operações de
tratamento estejam sendo realizadas no território nacional. Também é aplicada quando a atividade
de tratamento dos dados tenha por objetivo a oferta de bens ou de serviços à pessoa localizada em

território nacional, ou que o tratamento de dados realizado, seja de indivíduos localizados no território
nacional, independentemente de sua nacionalidade. É aplicada ainda, quando mesmo que os dados
estejam localizados fora do Brasil, tenham sido aqui coletados.
Talvez mais importante ainda, seja saber em que condições não é aplicada a LGPD, conforme preceitua
o Art. 4º da LGPD, que tentaremos simplificar aqui.
Não se aplica a LGPD, quando o tratamento de dados pessoais for realizado:
Por pessoa natural para fins, exclusivamente, particulares e não econômicos.
Para fins jornalísticos ou artísticos.
Para fins acadêmicos, desde que observadas as bases legais.
Para fins exclusivos da segurança pública, defesa nacional ou segurança do Estado.
Para atividades de investigação e repressão de crimes.
Em função de dados provenientes de países que não tenham leis aderentes ao sistema de
proteção de dados pessoais, no mesmo grau conferido pela lei brasileira e que não sejam
compartilhados com agentes de tratamento brasileiros.
4.4 PRINCIPAIS CONCEITOS
Para melhor compreensão da LGPD, é importante que você assimile alguns termos e conceitos que
são empregados ao longo de todo o texto legal.
Vamos conhecê-los?
Titular
Pessoa natural a quem se refere os dados pessoais que são objeto de tratamento.
Tratamento
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processa�
mento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.
Agentes de Tratamento
O controlador e o operador.

Controlador
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais.
Operador
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados
pessoais em nome do controlador.
Encarregado
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação
entreocontrolador,ostitularesdosdadoseaAutoridadeNacionaldeProteçãodeDados(ANPD).
Autoridade Nacional
Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumpri�
mento desta Lei em todo o território nacional.
Consentimento
Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento
de seus dados pessoais para uma finalidade determinada.
4.5 PRINCÍPIOS A SEREM OBSERVADOS
A LGPD estabelece, em seu Art. 6º, alguns princípios norteadores, os quais devem ser utilizados nas
situações em que houver alguma dúvida interpretativa ou nos casos em que a legislação for omissa.
Vamos conhecê-los?
Finalidade
Propósitos legítimos, específicos, explícitos e informados ao titular.
Adequação
Compatibilidade do tratamento com as finalidades informadas ao titular.
Livre Acesso
Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma, duração e integridade
do tratamento.
Qualidade dos Dados
Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados.
Transparência
Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a
realização do tratamento e os respectivos agentes de tratamento.

Segurança
Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas.
Prevenção
Adoção de medidas para prevenir a ocorrência de danos.
Não Discriminação
Impossibilidade de tratamento para fins discriminatórios, ilícitos ou abusivos.
Responsabilização e Prestação de Contas
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas de proteção de dados pessoais.
Os princípios norteadores devem ser observados como exigência mínima para uma boa atividade de
tratamento de dados pessoais, conforme estabelece o Art. 6º da Lei Geral de Proteção de Dados.
Mas, você sabe quando é permitido realizar o tratamento de dados pessoais?
4.6 AS BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS
A Lei nº 13.709 estabelece, em seu Art. 7º, dez hipóteses em que é permitido realizar o tratamento de
dados pessoais.
Vamos conhecê-las?
Consentimento do titular
É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados
pessoais para uma finalidade determinada. Esse consentimento deve ser dado por escrito ou por qualquer
outro meio que demonstre a manifestação da vontade do titular, através de cláusulas destacadas.
Importante
O controlador deve provar que o consentimento foi dado pelo titular, para finalidades determinadas.
Uma das restrições em se utilizar o consentimento como base legal, é que ele poderá ser revogado a
qualquer momento, de forma fácil e gratuita. Isso poderá inviabilizar completamente a continuidade
do tratamento dos dados.
LGPD
LGPD

Cumprimento de obrigação legal ou regulatória pelo controlador
Significa que, mesmo sem o consentimento do titular, o controlador deve guardar dados pessoais,
processá-los, transmiti-los ou compartilhá-los, por força de lei ou de algum regulamento normativo.
Dentre esses dados estão:

Ÿ dados pessoais constantes em documentos fiscais, por exigência da legislação tributária/fiscal;

Ÿ dados referentes aos empregados, por conta das leis trabalhistas;

Ÿ dados a serem armazenados por determinado período, por conta de normas setoriais.
Pela administração pública, para a execução de suas finalidades
Hipótese em que o tratamento de dados pessoais, pela administração pública, se justifica, para possi�
bilitar a execução de políticas promovidas pelo setor público.
Observe na imagem a seguir, alguns exemplos dessa hipótese.
EXEMPLOS DA HIPÓTESE “PELA ADMINISTRAÇÃO PÚBLICA,
PARA A EXECUÇÃO DE SUAS FINALIDADES”
BENEFÍCIOS
ASSISTENCIAIS
Bolsa Família,
ﬁnanciamentos
habitacionais
SEGURANÇA
Registros criminais e
prisionais, ressocialização
do apenado
ÁREA DA EDUCAÇÃO
Para a destinação
de verbas e execução
de diretrizes
ÁREA DA SAÚDE
Relacionada ao
SUS - Sistema
Único de Saúde
Estudos por órgão de pesquisa (anonimização, sempre que possível)
Ocorre quando um órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica
de direito privado sem fins lucrativos realiza pesquisas de caráter histórico, científico, tecnológico ou
estatístico.
Que estão registrados.

Para execução de contrato ou de procedimentos
preliminares a este, quando solicitado pelo titular
Ocorre quando o tratamento de dados pessoais é indispensável para o cumprimento dos próprios
objetivos do contrato firmado ou para o envio de propostas, elaboração de minutas e outros entendi�
mentos ou negociações prévias.
Agora, observe alguns exemplos dessa hipótese.
EXEMPLOS DA HIPÓTESE “PARA EXECUÇÃO DE CONTRATO OU DE
PROCEDIMENTOS PRELIMINARES A ESTE, QUANDO SOLICITADO PELO TITULAR”
Contratos de
trabalho
Minutas de
negociação de
preços e condições
Contratos com
operadoras
de saúde
Contratos de execução
diferida (operadora de
telefonia, água, luz,
televisão a cabo)
Contratos de
ﬁnanciamento
bancário
Exercício regular de direitos em processo judicial, administrativo ou arbitral
Esta hipótese apresenta as situações em que o tratamento de dados pessoais se legitima para fins de
operacionalização e execução de processos.
Vamos conhecer exemplos dessa hipótese?
EXEMPLOS DA HIPÓTESE “EXERCÍCIO REGULAR DE DIREITOS
EM PROCESSO JUDICIAL, ADMINISTRATIVO OU ARBITRAL”
Processo arbitral
referente a desacordo
comercial
Processo
administrativo para
suspensão de multas
Processo judicial
de reconhecimento
de paternidade
Processo judicial de
reparação de danos
causados em
acidentes de veículos

Proteção da vida ou da incolumidade física do titular ou de terceiros
Essa hipótese permite o tratamento de dados do titular ou de terceiros, em situações em que estes
estejam expostos a riscos, perigo de morte ou suscetíveis a causar-lhes danos físicos graves.
Agora, que tal conhecer exemplos dessa hipótese?
EXEMPLOS DA HIPÓTESE “PROTEÇÃO DA VIDA
OU DA INCOLUMIDADE FÍSICA DO TITULAR OU DE TERCEIROS”
Sinal de
georreferenciamento para
localização de suspeitos
de crimes graves
Identiﬁcação de suspeito de
espalhar doença contagiosa
grave/ epidemia
Situações de perigo
extremo, tentativas de
assassinato, agressões
Tutela da saúde, exclusivamente em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária
Entende-se por tutela da saúde, os cuidados a serem empregados visando proteger, preservar ou
reestabelecer a saúde dos agentes sujeitos de direito.
Os procedimentos realizados por profissionais de saúde têm interpretação extensiva, mas pode-se
adotar, por padrão, aqueles descritos no Rol de Procedimentos e Eventos em Saúde - 2018, da Agência
Nacional de Saúde Suplementar (ANS).
Atendimento aos interesses legítimos do controlador ou de terceiros
É um critério bastante subjetivo, em que há a possibilidade de se tratar dados pessoais, desde que
não se contraponham aos direitos e liberdades fundamentais do titular e sejam somente os dados,
estritamente, necessários e relacionados com as atividades praticadas pelo controlador dos dados.
Um exemplo clássico é o envio de publicidade/oferta de serviços aos clientes. Essa hipótese não se
aplica aos dados pessoais sensíveis!
Condição de estar livre de perigo ou dano; que está em segurança.

Recapitulando
Lembre-se de que dado pessoal sensível é o dado pessoal sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou
político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a
uma pessoa natural.
Proteção do crédito
Dispensa o consentimento do titular de dados pessoais em situações em que a coleta é realizada para
pesquisa e análise de riscos relacionados à concessão de crédito.
Esse é o caso dos scores de crédito para financiamentos bancários ou para identificação da situação
de inadimplência junto ao SERASA/SPC.
Atenção
Toda vez que for necessário fornecer uma justificativa de uso de um determinado dado pessoal
dentro da empresa, essa justificativa deverá se enquadrar em uma dessas dez situações. Do contrário,
o tratamento dos dados será considerado indevido ou ilegal, abrindo margem à responsabilização
tanto por parte do controlador quanto por parte do operador dos dados.
4.7 OS DIREITOS DO TITULAR DOS DADOS PESSOAIS
Sendo a LGPD uma lei para a proteção de dados pessoais, um de seus pontos mais impactantes é o
estabelecimento dos direitos do titular, previstos em seus Artigos 17 e 18.
Além da garantia da titularidade dos dados, ou seja, a pessoa física que forneceu o dado é proprie�
tária dele, a lei também estabelece que, mediante requisição, o titular poderá solicitar ao controlador
dos dados algumas informações. Para conhecê-las, observe a imagem a seguir.
Score de crédito: É o resultado dos hábitos de pagamento
e relacionamento do cidadão com o mercado de crédito.
SPC: Serviço de Proteção ao Crédito.

DIREITOS DOS TITULARES NA LGPD
Conﬁrmação da
existência de
tratamento
Acesso aos
dados
Correção de dados
incompletos, inexatos
ou desatualizados
Anonimização, bloqueio
ou eliminação de dados
desnecessários, excessivos
ou tratados em desconformidade
com a LGPD
Portabilidade dos
dados a outro
fornecedor
Eliminação dos dados
pessoais tratados com o
consentimento do titular
Informação das entidades
públicas e privadas com
as quais o controlador
realizou uso
compartilhado de dados
Revogação do
consentimento
Como se pôde ver, trata-se de uma mudança significativa no relacionamento entre o titular e o con�
trolador do dado.
É bem verdade que muitos dos direitos previstos nessa lei, ainda precisarão ser regulamentados pela
ANPD. Questões como a forma de requisição e os prazos para respostas ainda precisarão de normas
complementares para sua melhor aplicabilidade. Mas, não há como negar que para os titulares de
dados, os avanços são significativos. Já para as empresas, resta a necessidade de rápida adequação, o
que é um “belo diferencial competitivo”.
4.8 OS TRATAMENTOS REALIZADOS PELO PODER PÚBLICO
Nos tratamentos de dados do poder público, a LGPD procurou, principalmente, preservar algumas leis
anteriores, no que diz respeito à transparência e ao direito à informação.
De tal sorte que, embora no conjunto da LGPD, as obrigações de empresas públicas e privadas sejam
bastante semelhantes, existem pequenos pontos em que a ANPD ainda terá que fornecer explicações
como é caso de aplicação de uma multa a um órgão do próprio governo.

4.9 A TRANSFERÊNCIA INTERNACIONAL DE DADOS
A LGPD destinou todo o seu capítulo V para tratar da transferência internacional de dados.
No Art. 33, já encontramos o princípio da reciprocidade:
Art. 33 - A transferência internacional de dados pessoais somente é permitida nos seguintes
casos:
I - para países ou organismos internacionais que proporcionem grau de proteção de dados
pessoais adequado ao previsto nesta Lei;
Ou seja, para que possamos enviar dados para fora do país, é obrigatório que o país de destino possa
oferecer semelhante grau de proteção ao conferido pela lei brasileira.
Além disso, a LGPD apresenta algumas situações em que é permitida a transferência de dados como:

Ÿ na adoção de cláusulas padrões contratuais e

Ÿ na adoção de normas públicas globais.
4.10 AGENTES DE TRATAMENTO
Quando mencionamos os agentes de tratamento de dados, estamos nos referindo sempre a dois
quadros:
Controlador de Dados
Aquele que irá tomar a decisão com base nos dados tratados. Pode ser tanto uma pessoa
física quanto jurídica.
Operador de Dados
É a pessoa física ou jurídica que realiza o tratamento dos dados pessoais em nome do
controlador.
Nesse aspecto, é importante refletir que a responsabilidade civil sobre incidentes de vazamentos de
dados, independentemente de onde o fato tenha ocorrido (no operador ou no controlador), será de
ambos os agentes, que responderão, solidariamente, por eventuais indenizações.
4.11 O ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DPO)
A LGPD prevê, em seu Art. 41, para toda empresa controladora de dados, a obrigatoriedade da nome�
ação de um encarregado pelo tratamento de dados pessoais.

Também conhecido como DPO – Data Protection Officer, nomenclatura advinda da GDPR europeia,
o encarregado de dados pode ser uma pessoa física ou jurídica, a qual deve ter sua identidade e in�
formações de contato divulgadas publicamente, de preferência, através do site da empresa. Ele atua
como um canal de comunicação da empresa, interagindo com os titulares de dados e com a ANPD.
Entre suas atribuições legais, estão importantes atividades.
Vamos conhecê-las?
ATIVIDADES DO ENCARREGADO
PELO TRATAMENTO DE DADOS PESSOAIS
Executar as demais
atribuições determinadas
pelo controlador ou
estabelecidas em normas
complementares
Orientar os funcionários e
os contratados da entidade
a respeito das práticas a
serem tomadas em relação
à proteção de dados
pessoais
Analisar
reclamações e
comunicações dos
titulares, prestar
esclarecimentos e
adotar providências
Receber
comunicações da
autoridade nacional e
adotar providências
A ANPD poderá estabelecer normas complementares sobre a definição e as atribuições do encarre�
gado, hipóteses de dispensa de sua indicação, conforme a natureza da empresa, porte ou volume de
operações de tratamento de dados pessoais.
4.12 SEGURANÇA E BOAS PRÁTICAS
A LGPD, como uma boa norma de conformidade, dedicou todo o seu Capítulo VII para tratar da questão
da segurança e das boas práticas no tratamento dos dados pessoais.
Em seu Art. 46, a lei determina que os agentes de tratamento devem adotar medidas de segurança, téc�
nicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito.
Você sabia que a ANPD poderá dispor sobre os padrões técnicos mínimos a serem adotados?
As medidas protetivas devem ser consideradas desde a concepção do produto e/ou serviço até sua
execução (princípios do privacy by design/privacy by default).
Privacy by Design é uma metodologia em que a proteção de dados pessoais é pensada desde a concepção de sistemas,
práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.
O Privacy by Default é uma decorrência do Privacy by Design. Em outras palavras, trata-se da ideia de que o produto
ou serviço seja lançado e recebido pelo usuário com todas as salvaguardas que foram concebidas durante o seu
desenvolvimento. Ou seja, todas as medidas para proteger a privacidade que foram idealizadas, desde o início do
desenvolvimento do projeto, atendendo o princípio do Privacy by Design.

Atenção
A manutenção das medidas de segurança deverá prosseguir mesmo após o término do tratamento
de dados.
Os incidentes de segurança relevantes deverão ser comunicados à ANPD, em prazo razoável (a ser
definido pela ANPD) e deverão mencionar, no mínimo:
A natureza dos dados pessoais afetados.
Informações sobre os titulares envolvidos.
Medidas técnicas e de segurança utilizadas.
Riscos relacionados ao incidente.
Motivos da demora, caso a comunicação não seja imediata.
Medidas adotadas para reverter ou mitigar os prejuízos.
A ANPD poderá exigir providências do controlador como:

Ÿ divulgar os fatos nos meios de comunicação (publicização) e

Ÿ adotar medidas para reverter ou mitigar os efeitos do incidente.
Na avaliação da gravidade, a ANPD irá levar em conta a comprovação de medidas técnicas adequadas
à proteção de dados (considerados os limites técnicos dos serviços).
Importante
Os sistemas utilizados no tratamento de dados pessoais devem atender aos princípios, requisitos de
segurança e padrões de boas práticas e de governança previstos na lei e normas regulamentares.
Divulgação; ação de fazer com que algo se torne público; realizar publicidade.

4.13 FISCALIZAÇÃO E PENALIDADES
Como toda lei que visa proteger e preservar algum bem, ela só terá efeito prático e garantia de funcio�
namento, se possuir força coercitiva, sob a ameaça de aplicações de sanções.
Informação
A fiscalização do cumprimento da LGPD cabe à Autoridade Nacional, que se incumbirá de autuar,
multar e conduzir os processos na esfera administrativa.
Nada impede, porém, que outros órgãos do governo promovam o cumprimento da lei, nas esferas de
suas competências, como é o caso do Ministério Público e dos PROCONs, que já vêm atuando nesse
sentido, antes mesmo da entrada em vigor da lei.
• Advertência e prazo para
adoção de medidas corretivas.
• Publicização da infração.
• Proibição parcial ou total
do exercício de atividades
relacionadas a tratamento
de dados.
• Bloqueio dos dados pessoais.
• Eliminação dos dados pessoais.
• Suspensão parcial do
banco de dados por 6 meses,
prorrogáveis por igual
período, até a regularização
da atividade.
• Suspensão do exercício da atividade
de tratamento de dados pessoais por
6 meses, prorrogável por igual período.
• Multa simples, de até 2%
(dois por cento) do faturamento,
limitada a R$ 50.000.000,00 por
infração.
• Multa diária.
SANÇÕES
PREVISTAS NA
LGPD NO ÂMBITO
DA ANPD
É importante destacar que a chamada “publicização da infração”, significa dizer que o controlador
deverá informar aos titulares dos dados e à ANPD, caso ocorra algum incidente de segurança que
resulte em risco ou dano relevante para os titulares, devendo ainda divulgá-lo perante os meios de
comunicação, informando as condições em que ocorreu, tais como:
Quando aconteceu o incidente?
Quais dados pessoais foram prejudicados?

Quem foram os titulares afetados?
Qual o volume de dados atingido?
Quais as medidas mitigatórias adotadas para reverter/fazer cessar o dano imposto aos
titulares?
Já para a aplicação das penalidades, são levados em conta os seguintes fatores:

Ÿ gravidade e a natureza das infrações,

Ÿ boa-fé do infrator,

Ÿ vantagem do infrator,

Ÿ condição econômica do infrator,

Ÿ reincidência,

Ÿ grau do dano,

Ÿ cooperação do infrator,

Ÿ existência de mecanismos e procedimentos internos capazes de minimizar o dano,

Ÿ existência de política de boas práticas e governança,

Ÿ pronta adoção de medidas corretivas,

Ÿ proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Atenção
Isso significa que as empresas públicas e privadas devem estar adequadas ao cumprimento da lei, a
partir de 18 de setembro de 2020, estando suscetível a aplicação de sansões e penalidades por outros
órgãos, como de defesa do consumidor e Ministério Público, e a partir de agosto de 2021, pela ANPD.
4.14 ANPD - AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
Como já mencionamos, a ANPD é o órgão da administração pública responsável por zelar, implementar
e fiscalizar o cumprimento da LGPD em todo o território nacional.
Ela possui várias atribuições previstas na LGPD, podendo expedir normas regulatórias complementares à lei.
O Art. 55-A, parágrafo primeiro, da LGPD descreve a ANPD como de natureza jurídica transitória, que
poderá ser transformada em Autarquia vinculada a Presidência da República. A sua estrutura regimental
foi aprovada pelo Decreto n° 10.474, de 26 de agosto de 2020.
Para conhecer sua composição, observe o esquema a seguir.

Estrutura
organizacional
da ANPD
CONSELHO DIRETOR
Órgão máximo de decisão
ÓRGÃOS DE ASSISTÊNCIA DIRETA
E IMEDITA AO CONSELHO DIRETOR
Secretaria Geral, Coordenação Geral
de Administração e Coordenação Geral
de Relações Institucionais e Internacionais
ÓRGÃOS ESPECÍFICOS SINGULARES
Coordenções-Gerais
de Normatização,
Fiscalização e Tecnologia
e Pesquisa
ÓRGÃO SECCIONAIS
Corregedoria, Ouvidoria
e Assessoria Jurídica
ÓRGÃO CONSULTIVO
Conselho Nacional de
Proteção de Dados
Pessoais e da Privacidade
O Conselho Diretor é constituído por 5 membros indicados pelo Ministro de Estado Chefe da Casa
Civil da Presidência da República e nomeados pelo Presidente, após aprovação do Senado Federal. O
mandato dos membros do Conselho Diretor é de quatro anos, prorrogável uma vez, por igual período.
O Conselho Diretor, de acordo com o Artigo 4° do Decreto nº 10.474/2020, estará investido de dezenove
competências objetivando orientar, interpretar, fiscalizar e aplicar as necessárias sanções aos entes
públicos e privados que transgredirem a LGPD, tendo ainda caráter autônomo, técnico e decisório,
inclusive de solicitar, conforme segue demonstrado, relatórios e informações, e de acordo com os
relatórios e diligências, instaurar e processar administrativamente as situações divergentes da LGPD
sob sua competência:
ÓRGÃOS E ENTIDADES
DO PODER PÚBLICO
CONTROLADORES
Art. 5° da Lei nº 13.709/2018
AGENTES
PÚBLICOS
Relatório de
Impacto à proteção
de dados pessoais.
Poderá ainda solicitar informações suplementares e realizar diligências de veriﬁcação quanto às
operações de tratamento, no que se refere à aprovação de transferências internacionais de dados.
Informações especíﬁcas
sobre o tipo e tratamento
realizado nos dados pessoais.
Publicação de relatórios de
impacto à proteção de dados
pessoais, sugerindo adoção de
padronização e boas práticas.
Fonte: Adaptado de Brasil (2018) e Brasil (2020a).
Mas, como está o cenário atual do Brasil na proteção de dados pessoais?

Você já deve ter ouvido ou lido alguma reportagem sobre o vazamento de dados pessoais em alguma
grande empresa. Segundo a pesquisa anual da IBM, “Cost of a Data Breach”, em 2019, o Brasil foi o
quarto colocado em termos de volume de informações vazadas. Preocupante, não é mesmo?
Conforme já apresentamos neste curso, a LGPD, além de colocar o Brasil no grupo de países que pro�
tegem o titular de dados pessoais, traz um novo olhar para esse tipo de dado.
Basicamente, podemos dizer que essa legislação tem impacto sobre como as organizações coletam,
armazenam e analisam os dados pessoais de seus clientes e colaboradores. Os cuidados com o ar�
mazenamento devem buscar garantir que esses dados não sejam vazados. Assim, com a entrada
em vigor dessa lei, espera-se que o Brasil passe a ocupar uma posição melhor nesse ranqueamento
realizado pela IBM.
Agora é com você!
Agora, acesse o Material de Estudo deste curso no AVA e realize a atividade de Reflita e Responda
proposta sobre a LGPD.
Nesse passeio sobre a LGPD, abordamos a estrutura, os
principais conceitos da lei, seus critérios de aplicabilidade,
os diferentes atores envolvidos e também as sanções pas�
síveis de serem impostas em caso de descumprimento.
Com essas informações, você deverá estar se sentindo
mais preparado e confiante para enfrentar os desafios a seguir. Eles envolvem uma interessante
reflexão sobre quais impactos a LGPD irá provocar nas relações negociais, considerando a sua aplica�
bilidade geral, envolvendo os direitos de titulares de dados pessoais tratados por empresas de todos
os portes e de todos os segmentos da atividade econômica.
Mas, você sabe quais são os impactos da LGPD nas relações negociais? Já pensou sobre que ações a
empresa que você trabalha adotou para se adequar a essa legislação?
SEGURANÇA
AGENTES DE TRATAMENTO
TRANSFERÊNCIA INTERNACIONAL DE DADOS
PRINCÍPIOS
OBJETIVOS
APLICABILIDADE BASES LEGAIS
FISCALIZAÇÃO
PENALIDADES
DPO
LGPD
ANPD

5 O IMPACTO DA LGPD NAS RELAÇÕES NEGOCIAIS
Assim como já aconteceu em diferentes ocasiões, com outros diplomas legais, como o Código de Defe�
sa do Consumidor ou com o novo Código Civil, a LGPD também causou profundas mudanças na forma
das empresas se relacionarem com as pessoas físicas, com as quais mantêm algum tipo de contato,
como no caso de empregados ou clientes.
Você sabia que o impacto também ocorreu nas relações negociais entre as empresas e até mesmo no
âmbito governamental?
Isso deve-se ao fato de que a LGPD trata de assuntos que estão muito presentes no nosso cotidiano,
exigindo que tanto as empresas quanto os indivíduos, passem a atentar para determinados aspectos
de privacidade e de gerenciamento da informação, e passem a agir de forma efetiva, visando a
proteção dos dados pessoais.
Certamente, teremos pela frente um grande desafio, cercado de algumas incertezas, o que poderá
provocar um certo desconforto inicial. No entanto, imaginamos que com o passar dos dias e com a
esperada atuação da ANPD, aos poucos, a nuvem cinzenta, que hoje se descortina no horizonte, possa
ir se dissipando, e que a sociedade passe para uma fase mais tranquila no que diz respeito ao uso e
à proteção dos dados pessoais.
A experiência europeia nos mostra que muitos ajustes terão que ser realizados pelas empresas, e que
o quanto antes elas buscarem a adequação de seus processos e procedimentos às previsões da LGPD:

Ÿ menor será o impacto em suas atividades diárias e

Ÿ menor será o risco de sofrer penalidades em função de possíveis não conformidades.
Mas, o que a LGPD muda no dia a dia das empresas?
5.1 O QUE MUDA NO DIA A DIA DAS EMPRESAS
Com a entrada em vigor da LGPD, a partir de setembro de 2020, os desafios para as empresas são
enormes.
Videoaula
Para entender um pouco melhor esses desafios e outros aspectos relacionados à LGPD, clique aqui e
assista à entrevista com o advogado Luciano Bridi, pós-graduado em Gestão de Projetos de Tecnologia
da Informação e autor deste curso.
Nessa entrevista, você pôde compreender que para o sucesso de um programa de privacidade, é
importante que três aspectos sejam atendidos: tecnologia, processos e pessoas. Assim, para proteger
os dados pessoais, o redesenho das políticas da empresa que envolvem esses aspectos é fundamental.

5 - O impacto da LGPD nas relações negociais
Atenção
Todas as situações em que dados pessoais são tratados deverão ter sido verificadas, pois, a qualquer
momento, os titulares de dados poderão exercer seus direitos, exigindo respostas.
Os empregados, os clientes que sejam pessoas físicas e, até mesmo, outros terceiros que, em algum
momento, tenham tido seus dados coletados, armazenados, processados ou simplesmente consultados
pelas empresas, estarão aptos a:
Realizar reclamações,
Receber retornos sobre a finalidade do uso desses dados,
Solicitar a sua correção ou exclusão,
Pedir esclarecimentos sobre com quem tais dados foram compartilhados etc.
Enfim, toda uma gama de direitos que anteriormente eram ignorados, passaram, agora, a ser valori�
zados e ganharam destaque na mídia.
A possibilidade da ocorrência de incidentes de proteção de dados obrigará as empresas a manter
planos de contingência para tais situações. Os riscos deverão estar mapeados e mitigados e um plano
de ações deverá ser executado.
Além disso, a adequação à LGPD diz respeito a mudanças culturais, que envolvem a tecnologia, os
processos e, principalmente, as pessoas. Novas políticas e procedimentos surgirão, provocando alte�
rações nas rotinas diárias.
As empresas precisarão estar abertas para essas mudanças, que envolverão a necessidade de:

Ÿ planejamento,

Ÿ orçamento e

Ÿ capacidade de execução.
5.2 CENÁRIO INICIAL
Levando-se em conta a entrada em vigor da Lei Geral de Proteção de Dados Pessoais, em 18 de setembro
de 2020, e o atual grau de adequação das empresas, em que muitas ainda sequer ouviram falar da LGPD,
temos um cenário preocupante à frente.

5 - O impacto da LGPD nas relações negociais
Ainda é preciso muita divulgação, para que os empresários, em geral dos pequenos e médios negó�
cios, se conscientizem da importância que esse diploma legal terá no relacionamento com as pessoas
físicas titulares de dados.
O nível de exposição a riscos de incidentes ligados ao tratamento de dados terá um crescimento subs�
tancial, e com eles, pode-se imaginar até mesmo o surgimento da chamada “indústria da indenização”,
pautada em buscar reparações de danos por violações de direitos dos titulares de dados.
Mas, como será a atuação inicial da ANPD?
De acordo com o Decreto n° 10.474/2020, a partir de agosto de 2021, quando a ANPD estiver atuando,
ela terá o compromisso de zelar, fiscalizar, orientar, promover ações de cooperação, dentre outras
competências.
O texto do Decreto não deixa dúvidas de que ANPD é investida de autonomia técnica e decisória com
jurisidição no território nacional, instaurando processos administrativos e, de acordo com a decisão,
impondo multas e sanções em conformidade com a transgressão cometida contra a LGPD.
A ANPD é a guardiã da Lei, e compete às instituições públicas e privadas, independentemente do seu
seguimento e tamanho, estar em consonância com a normativa que entrou em vigor em 18 de setembro
de 2020, para evitar a forte atuação fiscalizadora, que é a essência da ANPD.
5.3 O PERIGO DA FALTA DE ADEQUAÇÃO
A lei prevê penalidades bastante onerosas para as empresas que não estiverem preparadas. A omissão
das organizações na adoção de medidas mitigadoras dos riscos de incidentes com dados pessoais
poderá ser punida de forma exemplar.
NA UNIÃO EUROPEIA, APÓS POUCO MAIS DE UM
ANO DA ENTRADA EM VIGOR DA GDPR, HOUVE:
200.000 denúncias
64.000 autuações
Como você pôde perceber, na Europa, as autoridades nacionais não têm dado trégua.
Você sabia que o custo da falta de adequação representa em média mais de três vezes o valor dispendido
com investimentos necessários para colocar a empresa em conformidade com a lei?

LGPD Apostila

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a LGPD Apostila

Semelhante a LGPD Apostila (12)

LGPD Apostila